Nginx 文件名逻辑漏洞（CVE-2013-4547）

题解

vlhub给了我们这样的网页

测试发现只不能提交.php文件，我们将一句话木马<?php phpinfo(); ?>写进1.txt，重命名为1.jpg，然后上传，这个过程burp抓包，将filename从"1.jpg"改为"1.jpg "并forward，上传成功~服务器存着一个叫"1.jpg "的非图片文件.

Nginx 文件名逻辑漏洞（CVE-2013-4547）

在浏览器输入62.234.14.252:8080/uploadfiles/1.jpgaa.php并抓包，

Nginx 文件名逻辑漏洞（CVE-2013-4547）

然后Forward，漏洞利用成功：

Nginx 文件名逻辑漏洞（CVE-2013-4547）

我的服务器是nginx1.20，比较新，上述漏洞未能成功显示phpinfo();显示如下：

Nginx 文件名逻辑漏洞（CVE-2013-4547）

踩坑点及深入挖掘原理

成功上传1.jpg[0x20]后，访问http://62.234.14.252:8080/uploadfiles/1.jpg显示如下

因为服务器上存的是1.jpg[0x20]，而浏览器输入62.234.14.252:8080/uploadfiles/1.jpg[0x20]实际访问的还是62.234.14.252:8080/uploadfiles/1.jpg （对，浏览器会过滤忽略掉url开头结尾的空格），所以404了。
假设我们上传的就是1.jpg，文件名不带空格，然后我们访问62.234.14.252:8080/uploadfiles/1.jpg，这个访问过程无法被FoxyProxy和burp抓包，可能是因为纯图片不是报文不在其业务范围的缘故。

解决如何即访问1.jpg[0x20]又能让burp抓到包？：

访问http://62.234.14.252:8080/uploadfiles/1.jpgaa.php,违背了纯图片就能被抓包了。然后用burp在底层将aa修改为[0x20][0x00]就能访问1.jpg[0x20]了
官方教程教收尾阶段访问http://your-ip:8080/uploadfiles/1.jpg[0x20][0x00].php，我傻乎乎的尝试在浏览器输入带[]的、不带[]的、[0x20]改写而成空格的、[0x00]改写不成空，都显示404了。后来才知道要去burp去修改报文的十六进制底层，即访问http://62.234.14.252:8080/uploadfiles/1.jpgaa.php，其中aa是可以留的占位符，a在底层对应ascii的十六进制61，将[61][61]改成[20][00]，其中20是空格，00是空的ascii。
这里应该是用到了0x00截断原理了，具体原理是系统在对文件名的读取时，如果遇到0x00，就会认为读取已结束。这个常用在对文件类型名的绕过上。还不止这个原理。
当Nginx得到一个用户请求时，首先对url进行解析，进行正则匹配，如果匹配到以.php后缀结尾的文件名（即http://62.234.14.252:8080/uploadfiles/1.jpg \0.php），会将请求的PHP文件交给PHP-CGI去解析。~~其中处理模块如下：~~
```
location ~ \.php$ {
    root           html;
    include        fastcgi_params;

    fastcgi_pass   IP:9000;
    fastcgi_index  index.php;
    fastcgi_param  SCRIPT_FILENAME  /var/www/html$fastcgi_script_name;
    fastcgi_param  DOCUMENT_ROOT /var/www/html;
}
```
~~以.php结尾的文件都会交给该模块处理，其中fastcgi_pass就是Nginx与PHP-FPM之间的媒介，通过ip+port的方式将请求转发给PHP解释器。~~

但是我们有代码的文件它叫’1.jpg ‘啊,不叫'1.php'不叫'1.jpg php'不叫'1.jpgphp'，所以我们利用0x00的阶段原理，用0x00将'1.jpg '和.php分隔开。http://62.234.14.252:8080/uploadfiles/1.jpg \0.php通过.php进入这个Location块；但进入后，Nginx却因0x00隔断而错误地认为请求的文件是1.gif[0x20]，就将'1.gif '交付PHP-CGI去解析（就设置其为SCRIPT_FILENAME的值发送给fastcgi）。

共有 140,210 条评论

点击这里取消回复。

emoji表情

😀 😃 😄 😁 😆 😅 😂 🤣 ☺️ 😇 🙂 🙃 😉 😌 😍 😘 😗 😙 😚 😋 😜 😝 😛 🤑 🤓 😎 🤡 🤠 😏 😒 🤗 😞 😔 😟 😕 🙁 ☹️ 😣 😖 😫 😩 😤 😠 😡 😶 😐 😑 😯 😦 😧 😮 😲 😵 😳 😱 😨 😰 😢 😥 🤤 😭 😓 😪 😴 🙄 🤔 🤥 😬 🤐 🤢 🤧 😷 🤒 🤕 😣 😖 😫 😩 😤 😠 😡 😶 😐 😑 😯 😦 😧 😮 😲 😵 😳 😱 😨 😰 😢 😥 🤤 😭 😓 😪 😴 🙄 🤔 🤥 😬 🤐 🤢 🤧 😷 🤒 🤕 😈 👿 👹 👺 💩 👻 💀 ☠️ 👽 👾 🤖 🎃 😺 😸 😹 😻 😼 😽 🙀 😿 😾 👐🏻 🙌🏻 👏🏻 🙏🏻 🤝 👍 👎🏻 👊🏻 ✊🏻 🤛🏻 🤜🏻 🤞🏻 ✌🏻 🤘🏻 👌 👈🏻 👉🏻 👆🏻 👇🏻 ☝🏻 ✋🏻 🤚🏻 🖐🏻 🖖🏻 👋🏻 🤙🏻 💪🏻 🖕🏻 ✍🏻 🤳🏻 💅🏻 💍 💄 💋 👄 👅 👂🏻 👃🏻 👣 👀 👤 👥 👶🏻 👦🏻 👧🏻 👨🏻 👩🏻 👱🏻‍♀️ 👱🏻 👴🏻 👵🏻 👲🏻 👳🏻‍♀️ 👳🏻 👮🏻‍♀️ 👮🏻 👷🏻‍♀️ 👷🏻 💂🏻‍♀️ 💂🏻 🕵🏻‍♀️ 🕵🏻 👩🏻‍⚕️ 👨🏻‍⚕️ 👩🏻‍🌾 👩🏻‍🍳 👨🏻‍🍳 👩🏻‍🎓

BridgetHax
Hey!
Online casino in India is legal in some states. <a href=https://vipcasinooffers.shop/>online casino in india</a> Verify before you play.
Check this out https://vipcasinooffers.shop
Online casino India real money app

Have a great day!

2025-10-08 06:04 Chrome 131.0.0.0 Windows 10/11 回复
BridgetHax
Glad to see you!
Online casino India real money app apk available. <a href=https://vipcasinooffers.shop>best online casino india</a> Install on Android devices.
Check out this link https://vipcasinooffers.shop
Online casino India real money

Enjoy your study session!

2025-10-08 06:02 Chrome 130.0.0.0 Windows 10/11 回复
BridgetHax
Hi!
Indian online casino provides secure gaming experience. <a href=https://vipcasinooffers.shop>indian online casino</a> Join trusted platforms now.
Check this example resource https://vipcasinooffers.shop
Online casino India legal

Best of luck!

2025-10-08 06:00 Chrome 130.0.0.0 Windows 10/11 回复
BridgetHax
Welcome aboard!
Best online casino app in India works smoothly. <a href=https://vipcasinooffers.shop>online casino india legal</a> Download for instant play.
Check this example resource https://vipcasinooffers.shop
Indian online casino

Best of luck!

2025-10-08 05:43 Chrome 130.0.0.0 Windows 10/11 回复
BridgetHax
Hi!
Best online casino games in India pay well. <a href=https://vipcasinooffers.shop>online gambling in india</a> Discover your favorite games.
Check out this link https://vipcasinooffers.shop
Top 10 online casino in India for real money

Enjoy your gaming experience!!

2025-10-08 05:42 Chrome 131.0.0.0 Windows 10/11 回复
vip-tv-754
IPTV форум <a href=https://vip-tv.org.ua/>vip-tv.org.ua</a> место, где обсуждают интернет-телевидение, делятся рабочими плейлистами, решают проблемы с плеерами и выбирают лучшие IPTV-сервисы. Присоединяйтесь к сообществу интернет-ТВ!

2025-10-08 05:36 Chrome 131.0.0.0 Windows 10/11 回复
vip-tv-794
IPTV форум <a href=https://vip-tv.org.ua/>https://vip-tv.org.ua/</a> место, где обсуждают интернет-телевидение, делятся рабочими плейлистами, решают проблемы с плеерами и выбирают лучшие IPTV-сервисы. Присоединяйтесь к сообществу интернет-ТВ!

2025-10-08 05:35 Chrome 131.0.0.0 Windows 10/11 回复
pornpen-149
Need porn videos or photos? <a href=https://pornpen.net/free-ai-porn-video-generator/>ai nsfw video generator</a> – create erotic content based on text descriptions. Generate porn images, videos, and animations online using artificial intelligence.

2025-10-08 05:32 Chrome 131.0.0.0 Windows 10/11 回复
pornpen-722
Need porn videos or photos? <a href=https://pornpen.net/ai-porn-image-generator/>pornpen ai nsfw photo generator</a> – create erotic content based on text descriptions. Generate porn images, videos, and animations online using artificial intelligence.

2025-10-08 05:31 Chrome 131.0.0.0 Windows 10/11 回复
vip-tv-795
IPTV форум <a href=https://vip-tv.org.ua/>vip-tv.org.ua</a> место, где обсуждают интернет-телевидение, делятся рабочими плейлистами, решают проблемы с плеерами и выбирают лучшие IPTV-сервисы. Присоединяйтесь к сообществу интернет-ТВ!

2025-10-08 05:25 Chrome 129.0.0.0 Windows 10/11 回复